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Antwort 
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Annette Groth, weiterer Abgeordneter und der Fraktion DIE LINKE. 

- Drucksache 18/10717 - 


Weiteres Datenleck bei der EU-Polizeiagentur Europol 


Vorbemerkung der Fragesteller 

Nach Berichten des niederländischen Fernsehsenders ZEMBLA gelangten ver- 
trauliche Informationen der EU-Polizeiagentur Europol in Den Haag ins Inter- 
net. Eine Mitarbeiterin hat demnach eingestufte Informationen mit nach Hause 
genommen und digitale Kopien auf einem Netzlaufwerk angefertigt. Der Da- 
tenträger von Lenovo sei mit dem Internet verbunden gewesen. Laut Wil van 
Gemert, dem ehemaligen niederländischen Geheimdienstchef und jetzigen stell- 
vertretenden Direktor von Europol, ist nicht ausgeschlossen, dass außer dem 
Sender weitere Parteien Einblick in die Daten gehabt hätten. Eine Untersuchung 
soll nun klären, warum die von der niederländischen Polizei zu Europol ent- 
sandte Mitarbeiterin die Daten mitnahm und kopierte. Die Frau arbeitete bereits 
seit elf Jahren für Europol. Laut einem Sprecher von Europol verfüge die Agen- 
tur eigentlich über ein „sehr robustes System“, um die gespeicherten Informati- 
onen zu schützen. Deshalb sollten nun die Sicherheitsprotokohe überprüft wer- 
den. 

Bereits im Jahr 2012 kamen Europol Daten abhanden; auch damals wurden 
diese auf einem Netzlaufwerk gespeichert (www.computable.nl vom 10. De- 
zember 2012, „Orange blundert bij Europol met lomega-lek“). Laut dem briti- 
schen Sender BBG vom 30. November 2016 nimmt der noch amherende Euro- 
pol-Direktor Rob Wainwright, ein ehemaliger Analyst des Geheimdienstes MI5, 
jetzt an einem Seminar zu Onlinesicherheit und Datenschutz teil („Secret Euro- 
pol terror data found online“). 

1. Wie bewertet die Bundesregierung die derzeitige Sicherheit der auch von 
deutschen Behörden gelieferten sensiblen Informationen bei Europol? 

Die Bundesregierung bewertet die Sicherheit der an Europol gelieferten bzw. dort 
verwahrten sensiblen Informationen grundsätzlich positiv. 

Der Ratsbeschlnss 2009/371/JI zur Errichtung des Europäischen Polizeiamtes 
(Enropol) regelt in drei Artikeln (40, 41 nnd 46) die Notwendigkeit des Schntzes 
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sensibler und eingestufter Informationen, die jeweiligen Verantwortlichkeiten al- 
ler bei oder durch Europol Beschäftigten sowie die Anbindnng dieser Schntzmaß- 
nahmen an das jeweilige nationale Recht der Enropol-Mitgliedstaaten. 

Artikel 40 bestimmt insbesondere, dass der Rat spezielle, Enropol betreffende Si- 
cherheitsregeln zn verabschieden hat nnd Personen, die bei Enropol Umgang mit 
eingestuften Informationen haben, sich znvor erfolgreich einer Sicherheitsüber- 
prüfnng anf Basis des jeweiligen nationalen Sicherheitsüberprüfungsrechts nnter- 
ziehen müssen. 

Artikel 41 bestimmt nnter anderem die Pflicht znr Amtsverschwiegenheit nnd 
weist im Falle von Verstößen dagegen den Mitgliedstaaten die Pflicht zn, diese 
Verstöße als Verstöße gegen das jeweilige nationale Recht über die Amtsver- 
schwiegenheit bzw. über den Schntz eingestufter Informationen zn behandeln. 

Artikel 46 bestimmt schließlich, dass sich der Schntz von EU-Verschlnsssachen 
(EUCI) bei Enropol an den Grnndsätzen nnd Mindestanfordemngen orientiert, 
die der Beschlnss des Rates znr Annahme seiner eigenen Sicherheitsvorschriften 
(2013/488/EU) festlegt. 

Die nach Maßgabe des Artikels 40 erlassenen Enropol-Sicherheitsregeln 
(2009/968/JI) entsprechen den derzeit gültigen Standards nnd werden, soweit not- 
wendig, angepasst. So schreiben diese Regeln neben den klassischen vier Einstn- 
fnngsgraden anch das so genannte „Basic Protection Level“ (Artikel 10) vor. Da- 
bei handelt es sich nm einen Schntzgrad, der anf alle durch Europol gehandhabten 
Informationen anznwenden ist, die nicht explizit als für die Öffentlichkeit be- 
stimmt gekennzeichnet sind. Genane Handinngsanweisnngen dazn werden im so- 
genannten Enropol Sicherheitshandbnch festgelegt. 

Die von Europol betriebenen IT-Systeme dnrchlanfen in regelmäßigen Abständen 
eine Sicherheitsbewertnng (Security Assessment) nnd Akkreditiernng. 

2. Warm und von wem wurde die Bundesregierung über das jüngste Datenleck 
bei der EU-Polizeiagentur Europol informiert, und welchen Inhalt hatte diese 
erste Mitteilung? 

Das deutsche Verbindnngsbüro bei Enropol wurde am 26. Oktober 2016 durch 
Enropol über den Sicherheitsvorfall und den Stand der Ermittlungen von Enropol 
unterrichtet. 

3. Welche weiteren Mitteilungen erfolgten seitdem, und welchen Inhalt hatten 
diese? 

Am 27. Oktober 2016 wurden dem deutschen Verbindungsbüro die betroffenen 
Daten zur Prüfung und Bewertung zugeleitet. Am 31. Oktober 2016 wurden die 
Mitgliedstaaten im Europol-Sicherheitsausschuss informiert. Der Europol-Ver- 
waltungsrat wurde mit Schreiben des Vorsitzenden vom 30. November 2016 über 
den Hintergmnd des Sicherheitsvorfalls und den aktuellen Verfahrensstand un- 
terrichtet. Ferner nahm Europol eine allgemeine Bewertung vor. Auf dieser 
Gmndlage war der Vorfall auch Gegenstand des Europol-Verwaltungsrates am 
13. Dezember 2016. 
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4. Auf welchem Weg bzw. über welche Datenträger gelangten die Daten nach 
Kenntnis der Bundesregierung ins Internet und schließlich zum Fernsehsen- 
der Zembla, und wer ist nach gegenwärtigem Stand der Erkenntnisse für das 
Datenleck verantwortlich? 

Die Bundesregierung kann vor Abschluss der derzeit laufenden Untersuchung des 

Vorfalls dazu keine Angaben machen. 

5. Inwiefern trifft nach Kenntnis der Bundesregiemng der TV-Medienbericht 
von Zembla vom 30. November 2016 zu oder nicht zu, wonach die Polizei- 
beamtin die Daten zuerst auf einen USB-Stick kopierte, diese anschließend 
auf ihrem Laptop speicherte und die Daten des Laptop schließlich als Siche- 
rungskopie auf das Netzlaufwerk gelangten? 

Auf die Antwort zu Frage 4 wird verwiesen. 


6. Für welche Datenbestände (etwa das Europol-Informationssystem oder die 
Analysedateien) bei Europol ist es nach Kenntnis der Bundesregiemng tech- 
nisch möglich, diese auf ein externes Laufwerk zu kopieren, und für welche 
Datenbestände ist dies nicht möglich? 

Der Bundesregierung ist nicht bekannt, für welche Datenbestände und welchen 
Personenkreis bei Europol es derzeit technisch möglich ist, Daten auf ein externes 
Laufwerk zu kopieren. 

7. Wie viele Datensätze in welcher Größe und zu wie vielen Ermittlungen wa- 
ren nach Kenntnis der Bundesregiemng von dem jüngsten Datenleck betrof- 
fen? 

a) Aus welchen Europol-Dateien stammten die abhandengekommenen Da- 
ten? 

b) Welche Einstufungen tmgen diese? 

c) Welche Tatkomplexe waren vornehmlich betroffen? 

d) Wie viele Personendatensätze enthielten die Daten? 

e) Wie viele der abhandengekommenen Daten stammten von deutschen Be- 
hörden? 

Die Fragen 7 bis 7e werden wegen des Sachzusammenhangs gemeinsam beant- 
wortet. 

Auf die Antwort zu Frage 4 wird verwiesen. 


8. Welche Abteilung bei Europol führt die angekündigte Untersuchung durch, 
und welche weiteren Partner, etwa private Firmen, sind daran beteiligt? 

Bei Europol führt die Abteilung „Governance“ die Untersuchung durch. Daneben 
ist die niederländische Polizei und Justiz beteiligt 

a) Welche Parteien hatten nach Kenntnis der Bundesregiemng nach Jetzigem 
Stand der Erkenntnisse Einblick in die Daten? 

Auf die Antwort zu Frage 4 wird verwiesen. 
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b) Wann soll der Abschlussbericht der Untersuchung vorliegen? 

Hierzu liegen der Bundesregierung keine Erkenntnisse vor. 

9. Welche weiteren Datenverluste von Agenturen der Europäischen Union (ins- 
besondere Europol, Frontex, EASO und eu-LISA) sind der Bundesregierung 
aus den vergangenen fünf Jahren bekannt? 

a) Welche Einstufungen trugen die Daten? 

b) Wer war für die etwaigen Datenlecks verantwortlich, und auf welchem 
Weg bzw. über welche Datenträger gelangten die Daten nach außen? 

c) Wie viele Personendatensätze enthielten die Daten? 

d) Wie viele der abhandengekommenen Daten stammten von deutschen Be- 
hörden? 

Die Fragen 9 bis 9d werden wegen des Sachzusammenhangs gemeinsam beant- 
wortet. 

Der Bundesregiemng liegen hierzu keine Erkenntnisse vor. 

10. Was ist der Bundesregierung darüber bekannt, auf welche Weise die Regie- 
rung Dänemarks sicherstellt, dass nach dem erfolgreichen Angriff auf däni- 
sche IT-Systeme, bei dem auch circa 1,2 Millionen Datensätze des Schenge- 
ner Informationssystems (SIS) das Eindringen in die nationale SlS-Schnitt- 
stelle zumindest erschwert wird, indem, wie von der dänischen Polizei er- 
klärt, die „ausgenutzte Sicherheitslücke“ geschlossen wurde (s. Plenarproto- 
koll 18/7)? 

a) Welche Details über die Sicherheitslücke und die Art des Angriffs sind 
der Bundesregiemng mittlerweile bekannt? 

Die Fragen 10 und 10a werden wegen des Sachzusammenhangs gemeinsam be- 
antwortet. 

Der Angriff auf das Schengener Informationssystem in Dänemark erfolgte unter 
Ausnutzung einer Sicherheitslücke in einem Webserver, mit deren Hilfe auf den 
Mainframe zugegriffen wurde. Nach Angaben der dänischen Polizei hat der IT- 
Dienstleister die entsprechende Sicherheitslücke nach Bekanntwerden geschlos- 
sen. 

b) Was ist der Bundesregierung darüber bekannt, in welchen Ländern der 
externe IT-Dienstleister CSC, der zum Zeitpunkt des Angriffs neben an- 
deren Anwendungen für die öffentliche Verwaltung Dänemarks auch das 
nationale Schengener Informationssystem Dänemarks betrieben hat, wei- 
tere EU-Datenbanken bzw. deren Schnittstellen betreibt? 

Der Bundesregiemng liegen hierzu keine Erkenntnisse vor. 

c) Was ist der Bundesregierung darüber bekannt, welche „Hintertür“ die Eu- 
ropäische Kommission der dänischen Regierung anbot, trotz des Referen- 
dums zum Ausstieg weiterhin bei der Polizeiagentur Europol mitarbeiten 
zu können („EU offers Denmark backdoor to Europol“, https://euobserver. 
com vom 8. Dezember 2016)? 

Im Anschluss an die Erklärung des Präsidenten der Europäischen Kommission, 
Jean-Claude Juncker, des Präsidenten des Europäischen Rates, Donald Tusk, und 
des dänischen Ministerpräsidenten, Lars Lokke Rasmussen vom 15. Dezember 
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2016 (IP-16-4398_DE) läuft derzeit das Verfahren zur Änderung des Beschlusses 
2009/935/JI hinsichtlich der Liste der Drittstaaten und dritten Organisationen, mit 
denen Europol Abkommen schließen kann. Im Anschluss an die Ergänzung der 
Liste um Dänemark bestünde die Möglichkeit ein Abkommen zur Zusammenar- 
beit zwischen Europol und Dänemark zu schließen. 

11. Welche Auswirkungen hat aus Sicht der Bundesregierung das Urteil des 
zweiten US-Berufungsgerichts vom 14. Juli 2016, das entschied, dass US- 
Cloud-Anbieter mit Sitz in Europa nicht aufgrund der bestehenden nationa- 
len Gesetzgebung der USA gezwungen werden können, personenbezogene 
Daten ihrer Kunden herauszugeben, für die Strafverfolgungs- und Justizbe- 
hörden der EU, die ihrerseits Direktanfragen zur Herausgabe elektronischer 
Beweismittel bei Internetanbietern mit Sitz in den USA fordern? 

Nach dem angesprochenen Urteil des betreffenden US Berufungsgerichtes (US 
Court of Appeals for the 2nd Circuit in New York) vom 14. Juli 2016 erstreckt 
sich die Verpflichtung von Microsoft als einem in den USA ansässigen Dienste- 
anbieter zur Herausgabe von personenbezogenen Daten aufgrund einer Anord- 
nung der US Strafverfolgungsbehörden nicht auf Daten, die in einem europäi- 
schen Rechenzentrum gespeichert sind. Auswirkungen auf Strafverfolgungsbe- 
hörden der EU Mitgliedstaaten ergeben sich daher für Konstellationen, in denen 
US Behörden im Wege der Rechtshilfe gebeten werden, entsprechende Daten bei 
in den USA ansässigen Diensteanbietern zu erheben. Erste Praxiserfahrnngen 
dazu werden derzeit gesammelt. 

a) Was ist der Bundesregierung über die Ergebnisse einer Prüfung dieser 
Auswirkungen durch die EU-Agenturen Eurojust oder Europol bekannt? 

Der Bundesregiemng liegen dazu keine Erkenntnisse vor. 

b) Welche Verfahren und Strategien verfolgen der Rat und die Kommission 
derzeit für die Umsetzung der Möglichkeit von Direktanfragen bei Inter- 
netanbietern in den USA? 

Auf die Beantwortung der Bundesregiemng zur Schriftlichen Erage 31 des Abge- 
ordneten Andrej Hunko auf Bundestagsdmcksache 18/8523 wird Bezug genom- 
men. Die dort erwähnten Ratsschlussfolgerungen „Improving Criminal Justice in 
Cyberspace“ vom 9. Juni 2016 (Ratsdokument 10007/16) werden derzeit von der 
Enropäischen Kommission umgesetzt. Dabei soll auch auf die direkte Koopera- 
tion zwischen Strafverfolgungsbehörden der EU-Mitgliedstaaten einerseits und 
in den USA ansässigen Diensteanbietern andererseits eingegangen werden. Kon- 
krete Vorschläge der Kommission sind im Sommer 2017 zu erwarten. 

12. Wie viele Datensätze enthalten die Europol-Arbeitsdateien „Hydra“ und 
„Travellers“ zum Stichtag 1. Dezember 2016, und wie viele Personen sind 
dort gespeichert? 

Die Gesamtzahl der Datensätze im Auswerteschwerpunkt „Hydra“ beträgt 
616 037 (Stand 1. Juni 2016) und im Auswerteschwerpunkt „Travellers“ 783 598 
(Stand 31. Juni 2016.). Im Auswerteschwerpunkt „Hydra“ sind insgesamt 66 493 
Personen, im Answerteschwerpunkt „Travellers“ 33 076 Personen gespeichert 
(Stand 31. Augnst 2016). Aktuellere Statistiken liegen der Bundesregierung nicht 
vor. 


Drucksache 18/10870 


-6- 


Deutscher Bundestag - 18. Wahlperiode 


13. Wie viele Datensätze enthält das Europol-Informationssystem zu „ausländi- 
schen terroristischen Kämpfern“, und wie viele Personen sind dort gespei- 
chert? 

Das Europol-Informationssystem enthält 13 645 terrorismushezogene Objekte, 
6 506 „ausländische Kämpfer“ oder Unterstützer sind gekennzeichnet (Stand 
4. Oktober 2016). Insgesamt enthält das Europol-Informationssystem 106 493 
Personen (Stand 4. Oktober 2016). 

14. Was ist der Bundesregierung darüber bekannt, inwiefern die „Meldestelle für 
Internetinhalte“ („EU Internet Referral Unit“) bei Europol die Möglichkeit 
Umsetzen wird, gemäß der neuen Europol-Verordnung (ABI. L 153 vom 
24. Mai 2016, S. 35) ab dem 1. Mai 2017 auch mit privaten Firmen Perso- 
nendaten auszutauschen? 

Die Bundesregierung hat keine Kenntnis, zu welchem Zeitpunkt nach dem 1. Mai 
2017 die „Meldestelle für Internetinhalte“ bei Europol mit privaten Stellen per- 
sonenbezogene Daten gemäß der neuen Europol-Verordnung (EU) 2016/794 aus- 
tauschen wird. Sie geht jedoch davon aus, dass Europol von ihr durch die Euro- 
pol-Verordnung eingeräumten Befugnissen Gebrauch machen wird. 

a) Wie viele der gefundenen Internetinhalte zu „Extremismus/Terrorismus“ 
und „illegale Migration“ fand die Meldestelle durch eigene Recherchen, 
und wie viele stammten von Behörden der Mitgliedstaaten? 

Auf die Antwort der Bundesregiemng zu den Eragen 19, 19a und 20 der Kleinen 
Anfrage der Eraktion DIE LINKE, auf Bundestagsdmcksache 18/10591 wird ver- 
wiesen. Weitere Erkenntnisse liegen der Bundesregierung nicht vor. 

b) Inwiefern wird auf EU-Ebene darüber diskutiert, die Zuständigkeit der 
Meldestelle auf andere Kriminalitätsphänomene bzw. Erscheinungsfor- 
men von „Hate Speech“ auszuweiten, und welche Haltung vertritt die 
Bundesregierung hierzu? 

Auf die Antwort der Bundesregiemng zur Schriftlichen Frage 13 des Abgeordne- 
ten Andrej Hunko auf Bundestagsdmcksache 18/10773 wird verwiesen. 

15. Was ist nach Kenntnis der Bundesregierung damit gemeint, wenn ein Spre- 
cher von Europol gegenüber dem Sender ZEMBLA davon spricht. Europol 
verfüge über ein „sehr robustes System“, um die gespeicherten Informatio- 
nen zu schützen? 

Auf die Antwort zu Frage 1 wird verwiesen. 

16. Was ist der Bundesregierung über die Beschaffenheit eines neuen Geheim- 
schutzraums bei Europol bekannt, und aus welchem Grund wurde dieser ein- 
gerichtet? 

Die Bundesregierung hat hierzu keine Erkenntnisse. 
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17. Was ist der Bundesregierung darüber bekannt, aus welchem Grund der noch 
amtierende Europol-Direktor Roh Wainwright wie von BBC berichtet an ei- 
nem Seminar zu Onlinesicherheit und Datenschutz teilnimmt? 

Die Webseite des Veranstalters führt den Europol-Direktor als Vortragenden. 
Darüber hinaus hat die Bundesregierung zu den Gründen für die Teilnahme keine 
Erkenntnisse. 


Satz: Satzweiss.com Print, Web, Software GmbH, Mainzer Straße 116, 66121 Saarbrücken, www.satzweiss.com 
Druck: Printsystem GmbH, Schafwäsche 1-3, 71296 Heimsheim, www.printsystem.de 
Vertrieb: Bundesanzeiger Veriag GmbH, Postfach 1 0 05 34, 50445 Köin, Telefon (02 21 ) 97 66 83 40, Fax (02 21 ) 97 66 83 44, www.betrifft-gesetze.de 

iSSN 0722-8333 


